ビジネスセキュリティクライアントの検索対象と処理

検索のタイプ (手動検索、予約検索、およびリアルタイム検索) ごとに、次の設定をします。

検索するファイル

検索方法を選択します。

  • 検索可能なすべてのファイル:検索可能なファイルをすべて検索に含めます。検索不能なファイルとは、パスワードで保護されたファイル、暗号化されたファイル、またはユーザ定義の検索制限を超えるファイルです。

    注:

    検索可能なファイルをすべて検索する場合、長い時間とリソースが必要になります。

  • トレンドマイクロの推奨設定で検索されるファイルタイプ:実際のファイルタイプに基づいてファイルを検索します。トレンドマイクロの推奨設定を参照してください。

  • 検索対象の拡張子の選択:拡張子を基準にして検索対象ファイルを手動で指定します。複数のエントリがある場合には、カンマ (,) で区切ります。

検索条件を選択します。(リアルタイム検索のみ)

  • 読み取り:コンテンツを読み取られたファイルを検索します。ファイルは、開かれたとき、実行されたとき、コピーされたとき、または移動されたときに読み取られます。

  • 書き込み:コンテンツが書き込まれている最中のファイルを検索します。ファイルのコンテンツは、ファイルの変更、保存、ダウンロード、または別の場所からのコピーの際に書き込まれます。

  • 読み取りまたは書き込み

除外設定

次の設定を指定可能です。

  • 除外の有効化または無効化

  • 検索からのトレンドマイクロ製品ディレクトリの除外

  • 検索からのその他のディレクトリの除外

    指定したディレクトリパスのサブディレクトリもすべて検索対象外となります。

  • ファイル名、またはファイル名と完全パスの検索からの除外

  • ファイル拡張子の除外

    ファイルの拡張子に「*」などのワイルドカード文字は使用できません。

詳細設定

検索の種類

オプション

リアルタイム検索

POP3メッセージを検索:初期設定の場合、メール検索では、ポート110を介して送信され、受信ボックスと迷惑メールフォルダにある新着メッセージのみを検索できます。Microsoft Exchange Server 2007の初期設定で使用されているセキュアPOP3 (SSL-POP3) はサポートされていません。

  • Outlook Express 6.0 (Service Pack 2) (Windows XPのみ)

  • Windows Mail (Windows Vistaのみ)

  • Mozilla Thunderbird 1.5および2.0

メール検索では、IMAPメッセージのセキュリティリスクは検出できません。

リアルタイム検索、手動検索

ネットワークドライブおよび共有フォルダを検索する:物理的に他のコンピュータに配置されていても、ローカルコンピュータに割り当てられているディレクトリを検索する場合に選択します。

リアルタイム検索

システムのシャットダウン時にフロッピーディスクを検索する

リアルタイム検索

IntelliTrapを有効にする:IntelliTrapにより、圧縮ファイルに含まれるボットなどの不正コードが検出されます。IntelliTrapを参照してください。

リアルタイム検索

メモリで検出された不正プログラムの変種/亜種を隔離する:リアルタイム検索と挙動監視が有効化され、このオプションが選択されている場合、実行中のプロセスのメモリで圧縮された不正プログラムが検索されます。挙動監視が検出した圧縮された不正プログラムは隔離されます。

リアルタイム検索、手動検索、予約検索

圧縮ファイルを検索する最大レイヤ数:ファイルを圧縮するたびに、階層が1つ増えます。感染したファイルを複数の階層に圧縮した場合、指定した階層まで検索します。階層が増えると、より多くの時間とリソースが必要になります。

リアルタイム検索、手動検索、予約検索

スパイウェアの除外リストの変更:クライアントのコンソールからは設定できません。

手動検索、予約検索

CPU使用率:ビジネスセキュリティクライアントでは、1つのファイルの検索後、次のファイルの検索を開始する前に一時停止することができます (一時停止した後、CPU使用率が指定された数値まで下がるのを待って再開します。)。

次のオプションから選択します。

  • :一時停止せずに連続してファイルを検索します。

  • :CPU使用率が50%を超えた場合にファイル検索の合間に一時停止し、50%以下の場合は一時停止しません。

  • :CPU使用率が20%を超えた場合にファイル検索の合間に一時停止し、20%以下の場合は一時停止しません。

手動検索、予約検索

高度なクリーンナップの実行 (FakeAV):ビジネスセキュリティクライアントは、偽セキュリティソフトウェア (FakeAVとも呼ばれます) による処理を停止します。ビジネスセキュリティクライアントは、詳細なクリーンナップルールを使用して、FakeAVの挙動を示すアプリケーションを予防的に検出および停止します。

スパイウェア/グレーウェアの除外リスト

特定のアプリケーションは、インストールされたシステムに損害を与える可能性があるという理由でなく、クライアントやネットワークを不正プログラムやハッカーからの攻撃にさらす可能性があるという理由で、スパイウェアと分類されます。

ビジネスセキュリティには、潜在的に危険なアプリケーションのリストがあります。初期設定でそうしたアプリケーションがクライアントで実行されないようにします。

クライアントがスパイウェアに分類されたアプリケーションを実行する必要がある場合は、アプリケーション名をスパイウェア/グレーウェアの除外リストに追加する必要があります。

ウイルス検出時の処理

ウイルス/不正プログラムに対してビジネスセキュリティクライアントが実行できる処理は次のとおりです。

表 1. ウイルス/不正プログラム検索の処理

処理

説明

削除

感染ファイルを削除します。

隔離

感染ファイルの名前を変更し、クライアントの一時隔離ディレクトリに移動します。

ビジネスセキュリティクライアントは、次に、隔離されたファイルを指定された隔離ディレクトリ (初期設定ではビジネスセキュリティサーバにあります) に送信します。

ビジネスセキュリティクライアントは、このディレクトリに送信される隔離ファイルを暗号化します。

隔離されたファイルのいずれかを復元する必要がある場合は、VSEncryptツールを使用します。

駆除

感染ファイルを駆除します。駆除されるまでそのファイルへのフルアクセスは許可されません。

駆除不可能な場合、ビジネスセキュリティクライアントは2次処理として隔離、削除、拡張子変更、または放置のいずれかを実行します。

注:

一部のファイルは駆除できません。詳細については、駆除できないファイルを参照してください。

拡張子変更

感染ファイルの拡張子を「vir」に変更します。ユーザは拡張子変更されたファイルを開くことはできませんが、特定のアプリケーションと関連付ければ開くことは可能です。

拡張子変更された感染ファイルを開くと、ウイルス/不正プログラムが実行されるおそれがあります。

放置

手動検索および予約検索のみで実行できます。ビジネスセキュリティクライアントでは、リアルタイム検索の間にこの検索処理を使用できません。これは、感染ファイルを開こうとしたり実行しようとする操作を検出したときに何も実行しなければ、ウイルス/不正プログラムが実行されるのを許容することになるためです。その他の検索処理はすべて、リアルタイム検索の間に使用できます。

アクセス拒否

リアルタイム検索の間にのみ実行できます。ビジネスセキュリティクライアントで、感染ファイルを開こうとしたり実行しようとする操作を検出した場合、ただちに操作がブロックされます。

ユーザは感染ファイルを手動で削除できます。

ビジネスセキュリティクライアントが実行する検索処理は、スパイウェア/グレーウェアを検出した検索の種類に応じて異なります。ウイルスや不正プログラムの種類ごとに特定の処理を設定できますが、スパイウェア/グレーウェアのすべての種類に対して設定できる処理は1つのみです。たとえば、手動検索 (検索の種類) によって特定の種類のスパイウェア/グレーウェアが検出された場合、影響を受けるシステムリソースが駆除 (処理) されます。

スパイウェア/グレーウェアに対してビジネスセキュリティクライアントが実行できる処理は次のとおりです。

表 2. スパイウェア/グレーウェア検索処理

処理

説明

駆除

プロセスの強制終了、またはレジストリ、ファイル、Cookie、ショートカットの削除。

放置

検出されたスパイウェア/グレーウェアのコンポーネントに対して何の処理も実行せずに、スパイウェア/グレーウェアの検出をログに記録します。この処理は、手動検索および予約検索のみで実行できます。リアルタイム検索では、この処理は「アクセス拒否」となります。

ビジネスセキュリティクライアントは、検出されたスパイウェア/グレーウェアが除外リストに含まれている場合、いかなる処理も実行しません。

アクセス拒否

検出されたスパイウェア/グレーウェアのコンポーネントへのアクセス (コピー、開く) を拒否します。この処理は、リアルタイム検索の間にのみ実行できます。手動検索および予約検索の際、この処理は「放置」となります。

トレンドマイクロの推奨処理

ウイルスや不正プログラムの種類が異なれば、適用すべき検索処理も異なります。検索処理をカスタマイズするにはウイルス/不正プログラムについての知識が必要となります。ビジネスセキュリティでは、「トレンドマイクロの推奨処理」を使用してこれらの問題を解決します。

トレンドマイクロの推奨処理は、ウイルスや不正プログラムに対する各種の検索処理があらかじめ設定されたものです。検索処理に不慣れな場合、または特定の種類のウイルス/不正プログラムに対する適切な検索処理が不明な場合には、トレンドマイクロの推奨処理の使用をお勧めします。

トレンドマイクロの推奨処理には、次の利点があります。

  • 「トレンドマイクロの推奨処理」では、トレンドマイクロが推奨する検索処理が使用されます。そのため、検索処理を設定するための時間を節約できます。

  • ウイルスの作成者はウイルスによるコンピュータへの攻撃方法を常に変化させています。トレンドマイクロの推奨処理の設定は、最新の脅威やウイルス/不正プログラムの最新の攻撃方法から保護するために、アップデートされます。

次の表はトレンドマイクロの推奨処理が、各種のウイルスや不正プログラムを処理する方法を示しています。

表 3. トレンドマイクロの推奨処理で実施されるウイルスおよび不正プログラムへの検出時の処理

ウイルス/不正プログラムの種類

リアルタイム検索

手動検索/予約検索

1次処理

2次処理

1次処理

2次処理

ジョークプログラム

隔離

削除

隔離

削除

ワーム/トロイの木馬

隔離

削除

隔離

削除

パッカー

隔離

なし

隔離

なし

不正プログラムの疑い

隔離

なし

放置またはユーザが設定した処理

なし

ウイルス

駆除

隔離

駆除

隔離

テストウイルス

アクセス拒否

なし

なし

なし

その他の不正プログラム

駆除

隔離

駆除

隔離

注意事項:

  • 潜在的なウイルス/不正プログラムの初期設定の処理は、リアルタイム検索の場合は「隔離」で、手動検索および予約検索の場合は「放置」です。

  • 一部のファイルは駆除できません。詳細については、駆除できないファイルを参照してください。

  • これらの設定のデフォルト値は、新しいパターンファイルが使用可能になると変更される場合があります。

詳細設定

検索の種類

オプション

リアルタイム検索、予約検索

ウイルス/スパイウェアの検出時にデスクトップまたはサーバに警告メッセージを表示する

リアルタイム検索、予約検索

潜在的なウイルス/スパイウェアの検出時にデスクトップまたはサーバに警告メッセージを表示する

手動検索、リアルタイム検索、予約検索

潜在的なウイルス/不正プログラムの検出時にクリーンナップを実行する:トレンドマイクロの推奨処理を選択し、潜在的なウイルス/不正プログラムの処理をカスタマイズした場合にのみ選択可能になります。